4 mai

A lire… [6] - spécial Sécurité

Catégorie web  |  Tag , , , , ,   |  1 Commentaire

Previously: A lire… [1], [2], [3], [4] et [5]

  • Commençons avec un article très intéressant qui aborde la problématique des hash collisions. J’ai déjà parlé plusieurs fois de techniques permettant de se jouer de ce principe fondamental de la cryptographie moderne. L’article en question intitulé “Hash Collisions (The Poisoned Message Attack) - The Story of Alice and her Boss” démontre par l’exemple comment Alice, stagiaire à Rome pour le compte de Julius Caesar, a obtenu de la propre main de ce dernier l’accès à des documents secrets en utilisant 2 fichiers dont l’empreinte (hash MD5) est identique.

Hash functions are almost omnipresent in today’s cryptography, e.g. in digital signatures. Instead of signing a long message M, you simply sign its hash H(M). This is useful and simplifies many issues … but if H(M) is identical to H(M’) then the signature is also valid for M’.

  • Vous connaissez peut-être Clipperz, gestionnaire de mots de passe en ligne, et vous vous interrogez probablement sur les risques encourus à utiliser de ce type de service. En effet, n’est-il pas dangereux de fournir à un service en ligne (donc à des gens potentiellement mal-intentionnés ou sur un serveur mal sécurisé) la totalité de vos informations les plus précieuses ? Autant en revenir alors à la bonne vieille méthode du mot de passe inscrit sur un Post-It collé sur le bord de votre écran. Mais je vous conseille dans ce cas la lecture de cet excellent billet “Anatomy of a zero-knowledge web application” sur le blog de Clipperz. L’auteur y explique que la conception de son application a été réalisé de telle sorte que celle-ci ne connait aucune information sensible à propos de l’utilisateur. Comment est-ce possible me demanderez-vous, puisqu’elle est censée stocker mes mots de passe ? Le concept est fort simple, tout se passe du coté du navigateur de l’utilisateur. Les informations sensibles sont cryptées avant d’être envoyé au serveur de Clipperz. Celui-ci ne stocke donc que des informations cryptées dont il n’a aucune connaissance de la signification exacte (à quel endroit servent ces données ? quel nom d’utilisateur ? quel mot de passe ? …), ni même bien évidemment de la clef de décryptage qui n’est connue que par vous (si bien que même Clipperz ne peut plus rien pour vous si vous l’oubliez). Le reste de l’article explique comment s’assurer que le code de Clipperz ne vous cache rien et est conçu pour éviter tout risque d’intrusion. Clipperz était déjà réputé comme l’un des meilleurs gestionnaires de mots de passe en ligne, alors autant de transparence quant à sa conception et son fonctionnement ne peut que mettre d’avantage en confiance. Bravo !

Nonetheless, we focused for months on designing a sound architecture for a new breed of “privacy aware” web applications. The basic idea was to deliver a no trust needed service, where users had the ability to inspect and verify anything running in their browser. We had to drift the attention away from trusting us and let users focus on trusting the application.

  • Trinity Rescue Kit est un live CD Linux qui va sauver la vie d’un paquet d’administrateurs Windows. En effet, TRK permet notamment (parmi de nombreuses autres fonctionnalités) de récupérer des fichiers perdus ou effacés, de récupérer des partitions perdues, de passer 5 anti-virus différents, de cloner des partitions NTFS via le réseau, ou encore d’écrire dessus. Mais encore et surtout de réinitialiser vos mots de passe Windows, dans le cas où vous les auriez oublié. Bref, ça devrait vous éviter un paquet de réinstallations de Windows from scratch… C’est donc un indispensable!
  • Et puisqu’on parle de mots de passe, finissons avec une petite touche amusante, trouvée dans la Knowledge Base du Support Microsoft. C’est ce qu’on appelle un excès de zèle.

Votre mot de passe doit comporter 18 770 caractères au minimum et ne peut être identique à l’un de vos 30 689 mots de passe précédents. Entrez un mot de passe différent. Entrez un mot de passe répondant à ces conditions dans les deux zones de texte.

22 déc

Google permet de cracker des mots de passe

Catégorie web  |  Tag , , , , ,   |  1 Commentaire

J’ai abordé il y a quelque temps ici-même une technique permettant de cracker très rapidement des mots de passe. Le principe s’appuyait sur le logiciel Ophcrack  et d’énormes bases de données de mots de passe pré-hashés.

Je viens de tomber sur un autre article particulièrement intéressant, sur Light Blue Touchpaper. L’auteur y explique que son blog sous WordPress a récemment été hacké par quelqu’un qui avait tout simplement créé un compte utilisateur sur le blog puis trouvé le moyen de lui donner les droits administrateur. Rien de très grave jusque là, l’auteur ayant rapidement désactivé le compte en question. Mais avant de supprimer toute trace du passage de l’individu malveillant, il s’est dit que cela pourrait être intéressant de trouver le mot de passe qu’avait employé le hacker pour s’enregistrer sur le blog.

Il faut savoir que les mots de passe des utilisateurs WordPress sont stockés dans la base de données sous leur forme hashée (au format MD5). Pour rappel, le hashage d’une donnée est une technique qui permet d’obtenir une empreinte unique de cette donnée. C’est beaucoup utilisé en cryptographie car il est impossible à partir de l’empreinte hashée de réaliser l’opération inverse et de décrypter l’information, à moins de faire une empreinte de toutes les combinaisons de données possibles et de les comparer à l’empreinte initiale.

Exemple de hashage

Notre blogueur s’attèle donc à cette tache. Il récupère l’empreinte MD5 du mot de passe utilisée par le hacker et code un script qui va réaliser les empreintes de tous les mots du dictionnaire anglais. Il essaye aussi de rajouter des numéros à la fin des mots. Sans succès. Il tente alors sa chance avec le dictionnaire russe, ayant trouvé des commentaires en russe dans le code d’attaque laissé par le pirate. Toujours sans succès.

Il aurait pu continuer longtemps ses recherches, essayer l’outil Ophcrack mentionné plus haut et aurait probablement fini par trouver, mais au bout d’un certain temps et surtout après s’être donné beaucoup de mal. Au lieu de ça, il a simplement lancé une recherche de l’empreinte MD5 sur Google.

Le résultat ne se fait pas attendre, il tombe sur 2 résultats. L’un est une page généalogique listant des personnes dont le surnom est Anthony. L’autre, une annonce pour la vente d’une maison indiquant “Please Call for showing. Thank you, Anthony”. Et effectivement, le mot de passe employé par le hacker s’est révélé être Anthony.

Le hash du mot de passe était indexé dans Google, car il apparaissait tout simplement dans le lien d’une page web. C’est assez fréquent que les développeurs hashent le nom d’un fichier pour lui donner un identifiant unique par exemple. Google indexe donc probablement des quantités phénoménales d’empreintes, et se comporte donc comme un outil de recherche dans une base de données pré-hashées pratiquement sans limite (et surtout disponible à tout un chacun).

Un conseil donc, lorsque vous vous enregistrez sur des sites ou des blogs, n’hésitez pas à utiliser des mots de passe très long et si possible non-issus d’un quelconque dictionnaire. En attendant que les moteurs de blogs type WordPress mettent en place du salting, qui consiste à ajouter à votre mot de passe avant de le hasher, une clef plus ou moins longue qui compliquera de façon exponentielle la tache des hackers.